PIA oder DPIA…wie soll es heißen?

von Barbara Schmitz, veröffentlicht am 16.02.2017
Rechtsgebiete: Datenschutz-Folgeabschätzung1|1126 Aufrufe

Die Datenschutz-Folgenabschätzung scheint das Thema der Umsetzung der Datenschutzgrundverordnung schlechthin zu werden. Abgesehen davon, dass noch Unsicherheit darüber besteht, welche Verarbeitungsform konkret betroffen ist, was eine „neue“ Technologie ist und wann mit einem hohen Risiko zu rechnen ist, besteht auch Irritation über die Begrifflichkeit.

Im Deutschen heißt es Datenschutz-Folgenabschätzung. Im Englischen wird dies mit Data Protection Impact Assessment vorgegeben.

In der Richtlinie 95/46 gibt es diese beiden Begriffe nicht. Die Beachtung „spezifischer Risiken“ ist jeweils in Artikel 20 der Richtlinie geregelt, die jeweils überschrieben sind mit „Vorabkontrolle“ bzw. „Prior checking“.

An der Begrifflichkeit wäre nichts bemerkenswertes, wenn wir nicht in der Vergangenheit schon eifrig mit dem Begriff Privacy Impact Assessment gearbeitet hätten. Einzug hat das PIA mit der Einführung von RFID-Systemen bereits 2009 gefunden. Ziel sollte es sein, einen sicherheits-technischen Standard zu schaffen (siehe PIA-Leitfaden des BSI).

In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data Protection Impact Assessment als auch mit Data Privacy Impact Assessment benannt wird.

Daher macht es aus meiner Sicht Sinn, die Frage nach der Begrifflichkeit zur Diskussion zu stellen, mit dem Ziel, ein einheitliches Verständnis für den Umgang mit der Datenschutz-Folgenabschätzung zu bekommen.

Erlauben Sie mir mein Verständnis von den zwei Begriffen kurz darzulegen:

Nach meinem Verständnis ist das PIA die Standard-Datenschutz-Prüfung aller geplanten Vorhaben. Anders ausgedrückt handelt es sich hierbei um die alltägliche Prüfung/Überlegung zur Datenschutzkonformität von Projekten/Vorhaben.

Das DPIA mit den Anforderungen aus Artikel 35 DSGVO kommt (erst) dann, wenn neue Technologien eingesetzt werden sollen und/oder an einem Punkt des Projekts erkennbar die Verarbeitung ein hohes Risiko birgt.

Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Ähnliche Beiträge

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

1 Kommentar

Kommentare als Feed abonnieren

Liebe Frau Schmitz, dies ist in der Tat ein wichtiges Thema. Bei der Durchführung des DPIA stellen sich eine ganze Reihe von ungelösten Fragen. Zum Beispiel: das Material, das im Rahmen der DPIA gesammelt wird, und die dazu gehörden Berichte sind vermutlich in den USA im Wege der "Discovery" in Verfahren oder Zivilprozessen abgreifbar. Zwar gibt es in den USA meines Wissens keine dem DIPA nachgeformte Regel, aber die FTC hat z.B. erhebliche Prüfungsbefugnisse im Bereich "privacy by design." Die Datenschutzbehörden ind er EU dürften auch an dem Material interessiert sein, wenn es z.B. zu einem Bruch der Datensicherheit kommt. Ich bin gespannt, wie Unternehmen diese Gratwanderung hinbekommen ohne abzustürzen.

Kommentar hinzufügen